Have I Been Pwned ha agregado casi 71 millones de direcciones de correo electrónico asociadas con cuentas robadas en el conjunto de datos Naz.API a su servicio de notificación de violaciones de datos.
El conjunto de datos Naz.API es una colección masiva de mil millones de credenciales compiladas utilizando listas de relleno de credenciales y datos robados por malware que roba información.
Las listas de relleno de credenciales son colecciones de pares de nombres de inicio de sesión y contraseñas robados de violaciones de datos anteriores que se utilizan para violar cuentas en otros sitios.
El malware de robo de información intenta robar una amplia variedad de datos de una computadora infectada, incluidas las credenciales guardadas en navegadores, clientes VPN y clientes FTP. Este tipo de malware también intenta robar claves SSH, tarjetas de crédito, cookies, historial de navegación y billeteras de criptomonedas.
Los datos robados se recopilan en archivos de texto e imágenes, que se almacenan en archivos llamados "registros". Estos registros luego se cargan en un servidor remoto para que el atacante los recopile más tarde.
Independientemente de cómo se roben las credenciales, luego se utilizan para violar cuentas propiedad de la víctima, se venden a otros actores de amenazas en mercados de delitos cibernéticos o se publican de forma gratuita en foros de piratas informáticos para ganar reputación entre la comunidad de piratas informáticos.
El conjunto de datos Naz.API
Naz.API es un conjunto de datos que supuestamente contiene más de mil millones de líneas de credenciales robadas compiladas a partir de listas de relleno de credenciales y de registros de malware que roban información. Cabe señalar que, si bien el nombre del conjunto de datos Naz.API incluye la palabra "Naz", no está relacionado con los dispositivos de almacenamiento conectados a la red (NAS).
Este conjunto de datos ha estado flotando en la comunidad de violación de datos durante bastante tiempo, pero saltó a la fama después de que se utilizó para impulsar una plataforma de inteligencia de código abierto (OSINT) llamada illicit.services.
Este servicio permite a los visitantes buscar en una base de datos de información robada, incluidos nombres, números de teléfono, direcciones de correo electrónico y otros datos personales.
El servicio se cerró en julio de 2023 por temor a que se estuviera utilizando para ataques de Doxxing y de intercambio de SIM. Sin embargo, el operador volvió a habilitar el servicio en septiembre.
Illicit.services utiliza datos de varias fuentes, pero una de sus mayores fuentes de datos provino del conjunto de datos Naz.API, que se compartió de forma privada entre un pequeño número de personas.
Cada línea de los datos de Naz.API consta de una URL de inicio de sesión, su nombre de inicio de sesión y una contraseña asociada robada del dispositivo de una persona, como se muestra a continuación.
Líneas de muestra del conjunto de datos Naz.API Fuente: Troy Hunt
Naz.API agregada a HIBP
Troy Hunt, el creador de Have I Been Pwned, anunció que agregó el conjunto de datos Naz.API a su servicio de notificación de violaciones de datos después de recibirlo de una conocida empresa de tecnología.
"Aquí está la historia de fondo: esta semana me contactó una conocida empresa de tecnología que había recibido una recompensa por errores basada en una lista de credenciales publicada en un popular foro de piratería", explicó Hunt en una publicación de blog.
"Si bien esta publicación data de hace casi 4 meses, no había aparecido en mi radar hasta ahora e, inevitablemente, tampoco había sido enviada a la empresa de tecnología antes mencionada".
"Se lo tomaron lo suficientemente en serio como para ejecutar las medidas adecuadas contra su (muy considerable) base de usuarios, lo que me dio motivos suficientes para investigarlo más allá de la lista promedio de relleno de credibilidad".
Actores de amenazas que comparten el conjunto de datos Naz.API en foros de piratería Según Hunt, el conjunto de datos Naz.API consta de 319 archivos con un total de 104 GB y que contienen 70,840,771 direcciones de correo electrónico únicas.
Sin embargo, si bien hay cerca de 71 millones de correos electrónicos únicos, para cada dirección de correo electrónico, es probable que haya muchos otros registros de los que se robaron las credenciales de los diferentes sitios.
Para verificar si sus credenciales están en el conjunto de datos Naz.API, puede realizar una búsqueda en Have I Been Pwned. Si se descubre que su correo electrónico está asociado con Naz.API, el sitio le advertirá, indicándole que su computadora fue infectada con malware que roba información en algún momento.
Qué hacer si mis datos salen aquí
Desafortunadamente, Have I Been Pwned solo nos dice si nuestro email está en una de las bases de datos que registra, pero no nos dice qué otros datos van asociados a ella (contraseñas, datos personales, etc). Por ello, si vemos que nuestro email está en una base de datos, lo que debemos hacer, cuanto antes, es cambiar todas nuestras contraseñas para asegurarnos de que los piratas informáticos no tienen acceso más a nuestras cuentas. Entre las contraseñas, es aconsejable también cambiar las claves VPN (si las usamos), la contraseña del banco, e incluso otro tipo de información personal.
Si trabajamos con criptomonedas, también debemos asegurarnos de cambiar bien las claves, y a ser posible incluso hacer un cambio a otra cuenta segura a la que no puedan tener acceso los piratas, ya que estas son un objetivo muy jugoso para los hackers.
